PSOE#3(platform-operations)

あなたは銀行の Google SecOps プラットフォーム管理者です。本部の Active Directory を IdP として継続利用したい一方で、SecOps へのアクセスは AD グループに基づき制御する要件があります。Cloud Identity への同期は経営判断により禁止されています。最小構成で要件を満たす設計はどれですか。

A. AD ユーザーを Cloud Identity に GCDS で同期し、Google Group に IAM ロールを付与する従来通りの方式を取り、同期トラフィックを VPN 経由に閉じる構成を選択し、Cloud Identity への同期禁止という経営判断を例外的に上書きしてもらう前提で進めます。
B. AD ユーザーごとに個別の Cloud Identity 招待を発行し、IAM ロールを直接ユーザーに付与し、グループ管理は Excel ファイルや SharePoint 上の台帳で人手運用する方式を採用し、AD グループとの整合性は四半期ごとの棚卸しで担保します。
C. 組織レベルで Workforce Identity Pool を作成し、AD と SAML 連携してから principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID にロールを付与します。
D. 組織レベルで Workload Identity Pool を作成し、AD と OIDC 連携した上で serviceAccount にロールを付与し、エンドユーザーの認証もすべてその Workload Identity Pool を経由させる構成を採用し、人と機械の認証を同一プールで束ねていきます。

正解と解説ディスカッション 0

正解：C

正解の根拠

Workforce Identity Federation は外部 IdP の人間ユーザーを Cloud Identity に同期せずに Google Cloud リソースへアクセスさせる仕組みです。AD グループメンバーシップを SAML 属性で渡し、principalSet で IAM ロールを付与します。

機能比較

機能	用途	Cloud Identity 同期
Workforce Identity Federation	人間ユーザー	不要
Workload Identity Federation	ワークロード	不要
GCDS	ディレクトリ同期	必要

不正解の理由

A は Cloud Identity への同期が禁止されているため要件違反です。
B は手動運用で大規模化に耐えず、グループベース制御もできません。
C は Workload 用であり、人間ユーザーには適していません。

参考：Workforce Identity Federation overview

PSOE#3(platform-operations)

正解の根拠

機能比較

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

機能比較

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル